Re: [FRsAG] Analyse semi-automatique des log sur CentOS

Sat, 24 Oct 2020 03:42:37 -0700 

Merci pour ton retour.

A lundi pour le résultat du test.

Le 24/10/2020 à 11:22, Ludovic Scotti a écrit :

Je ne suis pas trop fan de logwatch non plus. Je teste lundi
Le sam. 24 oct. 2020 à 09:37, Laurent Barme <2...@barme.fr <mailto:2...@barme.fr>> a écrit : 

    Bonjour,

    Pas vraiment convaincu par le logwatch de CentOS, j'ai écrit un petit
    outil pour
    l'analyse semi automatique des logs : scrut

             Principe
    scrut est un exécutable binaire qui parcours automatiquement les logs en
    filtrant les messages sans importance ; révélant ainsi les messages
    inhabituels,
    nouveau ou problématiques.
    scrut est à lancer régulièrement par un cron ; les informations méritant une
    attention sont alors automatiquement transmises par mail.

    1       Prérequis
    Utiliser le mode de format de log standard ;
    - dans /etc/rsyslog.conf remplacer RSYSLOG_TraditionalFileFormat par
    RSYSLOG_FileFormat
    - systemctl restart syslog
    Redémarrer cron (pour qu'il envoie des mails ! ; voir
    https://centosfaq.org/centos/centos-81-cron-does-not-send-mail/)
    systemctl restart crond

    2       Configuration
    La configuration se fait dans /etc/scrut/ (le sous-répertoire etc est un
    exemple
    de configuration).
    Ce répertoire doit contenir un sous répertoire pour chaque log à analyser
    dont
    le nom doit correspondre au fichier journal situé en /var/log/ ; par exemple
    /etc/scrut/messages/.
    Chacun des sous répertoires de /etc/scrut/ doit contenir :
    •       un fichier last
    •       un sous répertoire filters/
    Le fichier last sert à mémoriser la date et l'heure de la dernière ligne
    de log
    filtrée.
    Le sous répertoire filters/ contient les fichiers d'expressions régulières
    qui
    servent à filtrer les messages pouvant être ignorés.
    Les expressions régulières des fichiers de filtre doivent concerner les
    informations qui figurent après la date, l'heure et le nom du host. Par
    exemple
    pour /etc/scrut/secure/filtres/su :
    ^su\[[[:digit:]]+\]: pam_systemd\(su-l:session\): Cannot create session:
    Already
    running in a session or user slice$

    3       Utilisation en mode test
    Pour la mise au point de filtres, il est possible de lancer manuellement
    scrut
    sans mettre à jour le fichier last en précisant une date et heure de seuil à
    appliquer :
    ./scrut 2020-10-23T17:26:12.8453

    Pour ceux que cela intéresserait, scrut est partagé en
    https://numerunique.fr/scrut.tar

    Laurent Barme

    _______________________________________________
    Liste de diffusion du FRsAG
    http://www.frsag.org/




_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Répondre à